ESD是英文Emergency Shutdown Device緊急停車系統的縮寫。這種專用的安全保護系統。是90年代發展起來的，以它的高可靠性和靈活性而受到一致好評。ESD緊急停車系統按照安全獨立原則要求，獨立于DCS集散控制系統，其安全級別高于DCS。在正常情況下，ESD系統是處于靜態的，不需要人為干預。作為安全保護系統，凌駕于生產過程控制之上，實時在線監測裝置的安全性。只有當生產裝置出現緊急情況時，不需要經過DCS系統，而直接由ESD發出保護聯鎖信號，對現場設備進行安全保護，避免危險擴散造成巨大損失。據有關資料顯示，當人在危險時刻的判斷和操作往往是滯后的、不可靠的，當操作人員面臨生命危險時，要在60s內做出反應，錯誤決策的概率高達99.9%。因此設置獨立于控制系統的安全聯鎖是十分有必要的，這是作好安全生產的重要準則。該動則動，不該動則不動，這是ESD系統的一個顯著特點。

為何要獨立設置ESD系統呢？當然一般安全聯鎖保護功能也可由DCS來實現。但是對于較大規模的緊急停車系統應按照安全獨立原則與DCS分開設置，這樣做主要有以下幾方面原因：

（1）降低控制功能和安全功能同時失效的概率，當維護DCS部分故障時也不會危及安全保護系統; 

（2）對于大型裝置或旋轉機械設備而言，緊急停車系統響應速度越快越好。這有利于保護設備，避免事故擴大；并有利于分辨事故原因記錄。而DCS處理大量過程監測信息，因此其響應速度難以作得很快；

（3）DCS系統是過程控制系統，是動態的，需要人工頻繁的干預，這有可能引起人為誤動作；而ESD是靜態的，不需要人為干預，這樣設置ESD可以避免人為誤動作。

 

ESD現在應用的越來越多了，在控制系統中已經獨立于DCS?，F在ESD的國外廠商在國內有應用的有，HIMA公司的PES，TRICONEX（TROCON），HONEYWELL公司的FCS（原P F公司產品），ICS 公司的TRUSTED ，GE 公司的GMR，ABB 公司的TRIGUARD

SC300E,YOKOGAWA公司的ProSafe-PLC。以上七家廠商的產品已經占90%以上的市場了。其中HIMA，TRICONEX，ICS專業做安全控制的廠商，其它幾家是老牌的DCS的廠商，因為ESD的市場逐漸成熟，也推出了自己的產品。其中還有EMERSON，就產品的成熟度和市場份額來說，HIMA和TRICONEX是這個行業的雙雄，兩家各自代表了ESD產品的兩種設計理念。

二、安全及安全要求等級

 

安全是指人或物在一定環境中不發生危險與不受到損害的狀態，而安全性是表明人或物在一個環境中對危險的損傷所能承受的最大能力。

 

安全性最終目標是避免事故的發生，為達到此目的，對產品我國有“3C”

(China Compulsory Certification)市場準入強制性認證制度(包括產品安全性及電磁兼容、環境保護等方面)；對工業裝置的自動化系統中設置了安全保護控制系統(以下簡稱安全系統)，并對其設置與整個生產裝置的安全要求等級進行了規定。ISA美國儀表學會稱安全系統為安全儀表系統(Safety Instrument System, SIS)，對應ISA-S84.01標準，IEC國際電工委員會稱安全要求等級為“安全完整性等級”(Safety Integrity Levels, SIL)，對應IEC61508標準。目前國內尚無國家標準，石化行業有相關的設計導則：石油化工緊急停車及安全聯鎖系統設計導則(SHB-Z06-1999)，采用IEC的SIL概念。

 

在石油化工、火力發電、鋼鐵和有色金屬冶煉等行業設備選用設計安全系統時，都有危險性分析和可操作性分析，要求各種運行參數在工程設計規范內，如果超過此范圍，則表示不安全，需要安全系統發揮作用；又在正常范圍內允許控制系統手自動切換和手動操作，但操作人員某些重大失誤也可能造成不安全，為了克服人為的不安全因素，安全系統應從一般控制系統分離出來；裝置周圍環境如發生火災或可燃性氣體、有毒氣體導致影響設備安全和人身安全時，也需要安全系統發揮作用，所以研究安全要求等級劃分問題很重要。

 

當人們均衡利害關系，認為所從事活動的危險程度可以接受時，則這種活動狀態是安全的，這種危險程度對應的風險度就成為安全指標。

 

風險度：單位時間內系統可能接受的損失，包括財產損失、人員傷亡、工作損失和環境損失。計算風險度R(損失/時間)是以系統存在的危險因素為基礎的，測算系統可能發生的事故概率P(次/時間)及一旦發生事故可能造成的損失S(損失/次)，就可得出R=PS。風險度大，即風險大，危險程度高。

安全指標：是指人們能接受的風險度。安全指標是對某一種職業活動或某一系統運行風險最高容許限度。安全指標有多種表示方法。

 

IEC安全要求等級分為4級，安全性能由低到高為SIL1、SIL2、SIL3、SIL4。美國對SIL4只承認其存在，標準中不包括在SIL4要求下如何實施安全系統的內容。德國DIN V 19250及DIN V VDE0804對安全要求等級(Safety Requirement Classes)分為8級，安全要求從低到高為AK1～AK8，由于其產生較早，故被很多工程采用，對應各標準的安全等級對比如表所示。1個定義故障不會引發危險性事故的要求，對應AK1；1個故障不會引發危險性事故的要求，對應AK2；兩個及兩個以下故障組合不會引發危險性事故的要求，對應AK3、AK4；3個及3個以下的故障組合不會引發危險性事故的要求，對應AK5；無論何時發生故障，任何故障的組合均不會引發危險性事故的要求，對應AK6。AK7、AK8對應特殊考慮的安全要求。

 

由于工業應用場合工藝和生產設備特點不同，潛在危險不同，在發生危險結果之前的安全時間不同，此外還要考慮到實際事故發生的可能性及防止其發生可能性的結合，可以確定其風險等級。風險等級越高，則安全要求等級越高。DIN標準給出風險圖(圖1)，可以幫助確定實際工藝裝置應用場合的安全要求等級。圖1中有S、A、G、W四級危險參數，現分別說明如下：

　　估計危險損害度S，其中S0：輕度損害，無人員傷亡；S1：中度損害，人員輕傷；S2：重度損害，1人或多人重傷，包括1個死亡的情況；S3：嚴重損害，多人死亡或眾多人員重傷；S4：災難性事故，眾多人員死亡。

 

危險區域內人員存在的可能性A，其中A1：人員偶爾存在或不固定的短期存在；A2：經?；蚴冀K有人存在。

短時間內防止危險發生的可能性G，其中G1：在某些情況下是可能的；G2：幾乎是不可能的。

 

不考慮安裝安全系統出現危險事故的可能性W，其中W1：非常低；W2：低；W3：相對較高。

 

大多數使用安全系統的工業應用場合屬于AK4～AK6級，其中一般鍋爐、加熱爐為4級，石化、化工為AK5級，涉及到人身安全要求等級的場合很少，要特殊考慮。

三、設計選用原則

 

為了保證生產安全運行，根據具體要求對安全保護控制系統的設計選型工作是非常重要的。按上節安全要求等級標準及風險圖，讓實際生產裝置對號入座，從而確定選用哪一類的安全系統。由圖1可知，安全系統應分如下幾類，即ü監視設備、滿足安全要求等級AK1～AK4的Z-1、滿足安全要求等級AK1～AK5的Z-2、滿足安全要求等級AK1～AK6的Z-3及安全要求等級AK7～AK8的需要特殊考慮的等共5類。如ü監視設備的功能由一般控制系統(如DCS)實現，則安全控制系統分為4類。

 

對安全系統本身都有哪些要求？總的來說有兩方面，一是系統本身要具有高度的可靠性和可用性；另一方面就是要具有實時和快速豐富的邏輯運算功能，可滿足安全保護及故障記錄(SOE)的各項要求。具體的如能做到使整個工藝裝置在安全時間內完成一系列開車、停車、局部停車、聯鎖動作、自動處理緊急事故的各種任務，同時還要做到停車次數減少，連續運行時間延長，取得“經濟損失少”的效果。至于安全系統本身硬件元件的先進性、獨立性和系統結構的冗余性、中間環節最少原則、機械結構和配線合理、適應苛刻環境及做到故障安全型的軟件設計(如非勵磁停車設計)等項均是安全系統分類原則。另外安全系統除控制部分外，還有現場檢測儀表和執行器兩部分也需滿足上述兩方面要求?，F代安全系統還須有與主控系統(DCS等)或全廠信息系統的數據通信能力，其數據應即時傳輸給主控系統和全廠調度中心。

 

安全系統的發展，按硬件構成分有繼電器型、硬接線固態電路型和可編程微機安全系統3個階段。目前前兩種只在邏輯不復雜、安全要求不高的小系統中使用。絕大多數場合采用可編程微機安全系統，只在安全要求不高的場合采用PLC可編程序控制器或在DCS系統內部完成安全聯鎖保護功能。安全系統分Z-1、Z-2、Z-3三類。

 

Z-1類的安全系統可用性“一般”，一個中央CPU模塊通過單總線與I/O模塊相連，它與普通PLC不同之處為通過中央CPU的自我測試以及采用可測試I/O模塊、失效時輸出保證安全狀態等滿足系統安全要求。

 

Z-2類的安全系統可用性“較高”，中央CPU模塊冗余，其他與Z-1相同，這樣允許一個CPU模塊出故障，另一個CPU模塊維持正常工作，這樣可以在AK5級安全要求等級以下的場合，維持72h之內。

 

Z-3類的安全系統可用性“很高”，結構為全冗余，即CPU模塊、總線、I/O模塊均雙重化，在AK6級安全要求等級的場合，允許單通道操作時間不超過1h，即在此期間內將出故障的模塊更換掉，即可保證生產不中斷。

 

綜上所述，除專業生產廠生產的安全系統外，只有能滿足上述要求的經過安全論證的PLC系統，才能作為安全系統使用。

 

對于安全要求等級AK7、AK8級的應用場合選用的安全系統，還要考慮雙重化冗余系統中兩者比較結果不一致又無法判斷誰對誰錯時的情況，應采用三重模件冗余(TMR)方式，系統根據少數服從多數原則，即“3中取2”表決方式，如兩模件為“ON”，一模件的結果為“OFF”，則系統取“ON”狀態。另外系統還應具有容錯性，采用故障容錯輔助軟件技術(SIFT)，做到在本系統某部分出現故障時，系統可繼續工作。

　　實際安全系統中冗余和容錯的程度多種方案與價格關系很大，所以應按應用場所安全要求等級選取不同類別專業廠家生產的安全系統。